年度回顾！2023年5个最不正经的网络安全故事

网络空间安全包罗万象，该领域通常会涉及生活中意想不到的主题，在这个快速发展的领域，我们有时会遇到独特、不寻常甚至彻头彻尾古怪的故事。其中包括奇怪的攻击方法和网络犯罪分子得到的报应。英国《信息安全杂志》总结出了2023年最离奇古怪的5个网络故事。

 01  

BlackCat勒索团伙举报受害者：向SEC投诉其无视网络安全

确保网络事件更加透明是美国证券交易委员会(SEC)新规则的一个关键目标，该规则要求在美国运营的上市公司必须在四天内披露“重大”网络事件。

然而，美国证券交易委员会不太可能预见到它会收到攻击者本人的事件报告。这就是2023年11月发生的事情，当时 BlackCat/ALPHV组织透露，它已将MeridianLink受损的详细信息发布到SEC的“提示、投诉和推荐”网站。

此举似乎是迫使受害者支付赎金的一种新方式，美国证券交易委员会有权对不遵守其报告义务的行为实施严厉处罚。自11月以来没有再发生过其他事件，但2023年将是值得关注的事件。

 02  

智能宠物喂食器攻击：可能改变宠物的饮食习惯

家庭物联网(IoT)设备激增带来的安全风险多年来一直是人们关注的主要问题，导致新的立法强制要求制造商提出网络安全要求。

2023年6月，据卡巴斯基透露，甚至我们的宠物食物也可能为恶意网络行为者提供门户。卡巴斯基研究人员发现流行的智能宠物喂食器存在两个安全漏洞，可能导致数据盗窃和隐私侵犯。

其中第一个与某些使用消息队列遥测传输(MQTT)硬编码凭据的智能宠物喂食器有关，这可能允许黑客执行未经授权的代码并获得对一个喂食器的控制，从而对其他网络设备发起后续攻击。他们还可能篡改喂食时间表，从而可能危及宠物的健康。

另一个漏洞与不安全的固件更新过程有关，导致未经授权的代码执行、设备设置修改和敏感信息被盗，包括发送到云服务器的实时视频源。

 03  

网络犯罪分子担心ChatGPT的安全风险：并不愿意使用ChatGPT

自OpenAI于2022年11月推出基于人工智能的聊天机器人ChatGPT以来，关于网络威胁行为者如何使用大型语言模型(LLM)来增强攻击进行了很多讨论。

然而， Sophos于2023年11月发布的研究表明，许多威胁行为者不愿意使用这些工具，甚至对它们带来的更广泛的社会风险表示担忧。通过分析几个著名的网络犯罪论坛，研究人员发现，许多利用LLM创建恶意软件或攻击工具的尝试都是“初级的”，并且经常遭到其他用户的怀疑。

许多网络犯罪分子担心ChatGPT模仿者的创建者试图欺骗他们。

 04  

谷歌担心其AI工具被诈骗者滥用：采取法律行动

2023年11月，科技巨头谷歌透露，它正在采取一项新颖的战略来阻止网络犯罪分子——诉讼。

该公司表示正在对两组诈骗者采取法律行动。第一起诉讼针对的是恶意行为者，他们通过欺骗谷歌的人工智能工具，误导人们在不知不觉中下载恶意软件。谷歌正在寻求一项命令，阻止诈骗者设置此类域名，并允许他们通过美国域名注册商禁用这些域名。

第二起诉讼针对不良行为者滥用版权法，谷歌强调了建立数十个谷歌帐户并利用它们针对竞争对手提交数千份虚假版权主张的做法。这些索赔导致企业网站被暂时删除，给受害者造成数百万美元的损失。谷歌希望他们的行动能够结束这一活动并阻止其他活动。

 05  

ChatGPT遭遇最笨攻击法：简单重复的提示词致ChatGPT吐出训练数据

来自Google和几所美国大学的研究人员团队于2023年11月发现了一种针对ChatGPT的攻击方法，他们称这种方法“有点愚蠢”。这种不寻常的技术可以从模型中提取大约GB的 ChatGPT 训练数据集。

研究人员用命令提示模型永远重复某个单词，例如“诗”，然后坐下来观察模型的反应。

ChatGPT会重复这个词一段时间，然后开始包含它所训练过的部分确切数据，包括电子邮件地址和电话号码。在最强大的配置中，ChatGPT的输出中超过5%是来自其训练数据集的直接逐字连续50个令牌的副本。

虽然LLM应根据培训数据生成回复，但该培训数据本身并不意味着公开。研究人员透露，他们花费了大约200美元使用他们的方法提取了几兆字节的训练数据，但相信如果花更多的钱，他们可以获得大约1GB的训练数据。

来源：网空闲话

|

原文始发于微信公众号（内生安全联盟）：年度回顾！2023年5个最不正经的网络安全故事